2026年APP安全合规测试题及答案

2026年APP安全合规测试题及答案一、单项选择题（每题2分，共30分）1.某金融类APP在首次启动时弹出隐私政策弹窗，用户点击“不同意”后，APP直接退出。下列说法正确的是A.符合《个人信息保护法》第13条“最小必要”原则B.违反《App违法违规收集使用个人信息行为认定方法》第3条“强制同意”条款C.属于用户自主选择权范畴，合规D.只要隐私政策文本完整即合规2.Android13后台定位权限变更为“仅在使用期间允许”，旧版APP未适配，仍申请`ACCESS_BACKGROUND_LOCATION`，上架审核时被驳回。开发者最优先应采取的整改措施是A.在Manifest中移除该权限声明B.动态申请权限时增加“始终允许”选项C.将定位逻辑全部迁移至前台服务并移除后台定位需求D.在应用市场备注“需后台定位”即可3.小程序通过`<open-data>`组件展示用户微信头像，未获得用户同意。以下判断正确的是A.微信已代授权，开发者无需再次征得同意B.头像不属于个人信息C.仍需在隐私政策中告知并取得同意D.组件已做匿名化，合规4.某APP使用第三方OCRSDK，隐私政策仅写明“可能收集图片信息”，被监管机构通报。最主要原因是A.未明示收集目的、方式、范围B.OCR属于国家限制出口技术C.第三方SDK未通过网络安全审查D.图片信息不属于敏感个人信息5.iOS系统级提示“某APP粘贴自其他设备”频繁弹出，引发用户投诉。以下技术方案可降低误报风险的是A.在`Info.plist`中声明`UIPasteboard`用途字符串B.关闭`UIPasteboard`监听C.使用`UIDevice`唯一标识替代剪贴板D.调用`UIPasteboard.general.setItems([],{})`清空剪贴板6.下列加密算法中，可用于本地数据库字段加密且符合国密合规要求的是A.RSA-1024B.AES-ECBC.SM4-CBCD.DES-CBC7.某APP使用自签HTTPS证书，内置公钥pinning，但证书有效期设为10年。合规风险最大的是A.公钥pinning强度不足B.证书有效期远超行业惯例，更新机制缺失C.自签证书未备案D.TLS版本为1.28.以下关于未成年人模式的说法，符合2026年《未成年人网络保护条例》修订草案的是A.家长可远程一键卸载APPB.每日22:00-次日6:00禁止向未成年人提供交易服务C.未成年人实名认证后不可修改年龄D.14周岁以下用户不得使用个性化推荐9.某APP集成第三方埋点SDK，发现其在应用后台运行时每5分钟读取一次已安装应用列表。开发者应立即A.在后台线程中调用`getInstalledPackages`降低功耗B.将读取频率降至每小时一次C.移除该SDK或更新至已修复版本D.在隐私政策中补充“读取应用列表用于反欺诈”10.以下哪一项不属于《信息安全技术个人信息安全规范》GB/T35273-2026新增“敏感个人信息”示例A.步态特征B.14岁以下未成年人个人信息C.网络身份标识信息D.精准定位信息11.某社交APP提供“一键注销”按钮，点击后提示“注销需7天审核期”，期间可撤销。该做法A.符合“及时响应”要求B.违反“即时注销”原则C.只要给用户发送短信提醒即合规D.7天属于合理期限12.以下关于鸿蒙NEXT系统安全机制描述正确的是A.默认禁止所有应用读取`UDID`B.允许应用通过反射获取系统隐藏APIC.不再支持沙箱机制D.应用权限动态授予后永久有效13.某APP使用人脸识别进行实名认证，将人脸图片上传至云端比对后未删除。合规首要问题是A.未做去标识化B.未建立人脸识别信息单独存储制度C.未获得“单独同意”D.未使用国密算法加密传输14.以下关于APP数据跨境传输的说法，符合2026年《数据出境安全评估办法》的是A.个人信息出境1万人即触发评估B.累计出境数据量超过1TB才需评估C.关键信息基础设施运营者出境个人信息1千条即需评估D.数据经匿名化后即可自由出境15.某APP在漏洞扫描报告中被指出存在`Janus`签名绕过漏洞，其根本原因是A.仅校验`v1`签名，未启用`v2`B.使用`debug`证书发布正式包C.证书链未校验根CAD.开启`allowBackup=true`二、多项选择题（每题3分，共30分）16.以下哪些场景必须获得个人信息主体的“单独同意”A.向第三方提供其个人敏感信息B.公开披露其个人信息C.将个人信息用于个性化推荐D.将14周岁以下未成年人信息用于教学分析17.关于APP使用加密技术存储用户身份证号，正确的做法包括A.使用SM4-CBC模式，密钥存储在`AndroidKeystore`B.将密钥硬编码在Java层C.加密后删除原文，仅保留密文D.每年更换加密密钥并重新加密历史数据18.以下哪些权限被GooglePlay列入2026年“受限权限”名单，需填写声明表单A.`SMS`B.`CALL_LOG`C.`ACCESS_FINE_LOCATION`D.`MANAGE_EXTERNAL_STORAGE`19.以下哪些行为会被认定为“超范围收集个人信息”A.地图类APP首次启动即申请通讯录权限B.输入法是系统默认，仍申请定位权限C.隐私政策未提及但后台读取`MAC`地址D.通过`WebView`注入JS获取用户剪贴板20.以下哪些措施可有效降低APP被动态调试的风险A.在`so`层检测`TracerPid`B.使用`HMAC-SHA256`校验应用完整性C.调用`ptrace`反调试D.将关键逻辑放入云端，本地仅做展示21.以下哪些属于《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》中定义的“最小必要”评估维度A.收集频率B.精度要求C.数据存储期限D.数据出境目的22.以下哪些API调用必须在`try-catch`中做异常处理，否则可能导致隐私数据泄露A.`ActivityManager.getRunningTasks`B.`ClipboardManager.getPrimaryClip`C.`Settings.Secure.getString`D.`PackageManager.getPackageInfo`23.以下哪些做法可有效防止第三方SDK“热更新”恶意代码A.在`Application`中校验SDK文件哈希B.使用`Signature`校验`dex`C.禁止动态加载外部`so`D.将SDK代码提前合并入主`dex`24.以下哪些属于《网络安全标准实践指南—移动互联网应用程序（APP）系统权限申请使用指南》推荐的“权限最小化”示例A.使用`ACCESS_COARSE_LOCATION`替代`ACCESS_FINE_LOCATION`B.使用`ACTION_PICK`让系统代替应用读取相册C.使用`StorageAccessFramework`代替`READ_EXTERNAL_STORAGE`D.使用`TelephonyManager`获取`IMEI`做设备标识25.以下哪些日志字段在正式发布版中必须脱敏或删除A.用户登录tokenB.用户手机号明文C.服务器内网IPD.加密后的密码哈希三、判断题（每题1分，共10分）26.只要APP服务器部署在中国境内，就不涉及数据跨境传输问题。（）27.鸿蒙NEXT系统不再支持`SharedPreferences`，开发者必须迁移至`Preferences`模块。（）28.使用`FirebaseCrashlytics`上传崩溃日志无需用户同意，因为日志不含个人信息。（）29.根据《个人信息保护法》，处理已公开的个人信息无需取得个人同意。（）30.2026年起，所有APP上架前必须通过工信部“实名备案”系统核验开发者主体。（）31.在iOS17中，即使APP获得“始终定位”权限，系统仍会在状态栏实时提示。（）32.使用`OkHttp`默认证书校验即可防御所有中间人攻击。（）33.将用户生日明文存储在`SQLite`并设置`android:exported="false"`即可防止泄露。（）34.根据《数据安全法》，企业须每年开展一次数据安全风险评估，并向主管部门报送报告。（）35.通过`WebView`调用`javascript:alert(document.cookie)`可获取同域cookie，属于跨域漏洞。（）四、简答题（每题10分，共30分）36.简述APP在集成第三方SDK时，如何建立“SDK合规白名单”机制，并说明需要核查的四大要素。37.某电商APP计划在2026年“618”期间上线“AI试妆”功能，需采集用户人脸并做云端3D建模。请从合法性、正当性、必要性角度，列出合规落地五步路径。38.说明如何在Android14及以上版本实现“照片选择器”替代`READ_MEDIA_IMAGES`权限，并给出关键代码片段与权限声明差异。五、计算与案例分析题（共30分）39.（10分）某社交APP日活1000万，平均每人每天产生200条日志，每条日志0.5KB。公司计划将日志留存30天后统一删除，但需先进行SM4-CBC加密，密钥长度128bit。计算：（1）30天累计存储量（GB），保留两位小数；（2）若加密后数据膨胀比例为1.15，实际占用磁盘空间（GB）；（3）按2026年阿里云华北2存储单价0.12元/GB/月，计算单月存储费用。40.（20分）阅读下列代码片段，回答问题：```javapublicclassLoginActivityextendsAppCompatActivity{privateEditTextmPhone;privateEditTextmCode;privateButtonmBtn;privateStringmUrl="https://api.xxx/login";privatevoidlogin(){Stringphone=mPhone.getText().toString();Stringcode=mCode.getText().toString();Stringjson="{\"phone\":\""+phone+"\",\"code\":\""+code+"\"}";RequestBodybody=RequestBody.create(MediaType.parse("application/json"),json);Requestreq=newRequest.Builder().url(mUrl).post(body).build();newOkHttpClient().newCall(req).enqueue(newCallback(){@OverridepublicvoidonFailure(Callc,IOExceptione){}@OverridepublicvoidonResponse(Callc,Responser){}});}}```（1）指出其中三项直接违反2026年《个人信息保护法》或GB/T35273-2026的安全问题；（2）给出整改后的关键代码（需使用SM4加密手机号，并采用HTTPS证书强校验）；（3）说明如何在不增加额外权限的前提下，防止短信验证码被第三方恶意控件读取。——答案与解析——一、单项选择题1.B2.C3.C4.A5.A6.C7.B8.B9.C10.C11.B12.A13.C14.C15.A二、多项选择题16.ABD17.ACD18.ABD19.ABCD20.ACD21.ABC22.AB23.ABCD24.ABC25.AB三、判断题26.×（数据跨境以“处理者”是否境外为准，非服务器位置）27.√28.×（崩溃日志可能含设备ID、路径等个人信息）29.×（需在合理范围内，且符合个人利益）30.√31.√32.×（默认证书校验不校验主机名，需自定义`HostnameVerifier`）33.×（明文存储即高风险，`exported`仅组件级防护）34.√35.×（同域读取cookie不属于跨域漏洞）四、简答题36.四大核查要素：（1）SDK来源合法性：核验供应商《网络安全审查办法》通过记录、ICP备案、开源许可证；（2）收集信息范围：通过静态扫描+动态抓包，输出《个人信息收集清单》并与隐私政策逐项比对；（3）权限调用频率：使用`frida-trace`统计敏感API调用次数，确保不超过业务最小频率；（4）数据出境情况：要求SDK厂商提供《跨境数据流动自评估报告》与标准合同副本。建立白名单流程：安全团队评估→法务合规复核→纳入内部仓库→CI/CD配置哈希校验→每季度复评。37.五步路径：①事前评估：依据《个人信息保护法》第28条，将人脸纳入敏感个人信息，开展个人信息保护影响评估（PIA）并向省级以上网信办报备；②单独告知：在首次收集前以弹窗方式展示《人脸信息处理规则》，突出“3D建模、云端存储、30分钟自动删除”等核心条款，获得“单独同意”；③技术最小化：采用端侧人脸特征提取，仅上传匿名化特征向量，云端不存储原始图片；使用SM4-CBC加密传输，密钥通过`AndroidKeystore`/`SecureEnclave`保护；④未成年人保护：14周岁以下用户自动跳转至“监护人同意”流程，采用双重验证（监护人短信+人脸识别）；⑤事后审计：每日自动化脚本扫描云端存储桶，确认无原始图片残留；建立7×24小时客服通道，支持用户一键删除建模数据。38.关键差异：Android14引入`PhotoPicker`，无需声明`READ_MEDIA_IMAGES`权限。实现步骤：（1）在`build.gradle`中`targetSdkVersion34`；（2）调用`ActivityResultContracts.PickVisualMedia()`：```kotlinvalpickMedia=registerForActivityResult(ActivityResultContracts.PickVisualMedia()){uri->if(uri!=null){contentResolver.takePersistableUriPermission(uri,Intent.FLAG_GRANT_READ_URI_PERMISSION)imageView.setImageURI(uri)}}pickMedia.launch(PickVisualMediaRequest(ActivityResultContracts.PickVisualMedia.ImageOnly))```（3）权限声明：完全移除`READ_MEDIA_IMAGES`，降低隐私敏感度。五、计算与案例分析题39.（1）累计条数：1000万×200×30=60亿条数据量：60亿×0.5KB=30